06-OpenLDAP密码策略

阅读视图

1. openldap密码策略
2. OpenLDAP服务端定制密码策略
3. 客户端策划策略实例
4. 定义用户第一次登陆就修改密码
   问题排查手册
   重点推荐官方文档

备注：本文依然承接系列文。

1. openldap密码策略

OpenLDAP密码策略包括如下几个方面

• 密码的生命周期
• 保存密码历史，避免在一段时间内重用相同的密码
• 密码强度，新密码能够根据各类特性进行检查。
• 密码连续认证失败的最大次数。
• 自动账号锁定
• 支持自动解锁账号或管理员解锁账号。
• 优雅（Grace）绑定（容许密码失败后登陆的次数）。
• 密码策略能够在任意DIT范围定义，能够是用户、组或任意组合。

2. 密码策略属性详解

密码策略涉及的属性以下：

• pwdAllowUserChange：容许用户修改其密码
• pwdAttribute, pwdPolicy：对象的一个属性，用于标识用户密码。默认值(目前惟一支持的)是userPassword
• pwdExpireWarning：密码过时前警告天数
• pwdFailureCountInterval：多久时间后重置密码失败次数, 单位是秒
• pwdGraceAuthNLimit：密码过时后不能登陆的天数，0表明禁止登陆。
• pwdInHistory：开启密码历史记录，用于保证不能和以前设置的密码相同。
• pwdLockout：定义用户错误密码输入次数超过pwdMaxFailure定义后, 是否锁定用户, TRUE锁定（默认）.
• pwdLockoutDuration：密码连续输入错误次数后，账号锁定时间。
• pwdMaxAge：密码有效期，到期须要强制修改密码, 2592000是30天
• pwdMaxFailure：密码最大失效次数，超事后账号被锁定。
• pwdMinAge：密码最小有效期, 默认为0, 用户随时更改密码, 若是定义了, 用户在离上次更改密码 + 定义的时间以内不能更改密码
• pwdMinLength：用户修改密码时最短的密码长度
• pwdMustChange：用户在账户锁定后由管理员重置账户后是否必须更改密码, 而且只有在pwdLockout为TRUE时才相关, 若是值为FLASE(默认值), 管理员帮用户解锁用户后, 用户没必要更改密码, 若是为TRUE, 就必须更改密码。若是使用pwdReset来解锁用户, 其值将覆盖此属性
• pwdSafeModify：该属性控制用户在密码修改操做期间是否必须发送当前密码。若是属性值为FALSE（缺省值），则用户没必要发送其当前密码。若是属性值为TRUE，那么修改密码值时用户必须发送当前密码。
• pwdLockoutDuration：账号锁定后，不能自动解锁，此时须要管理员干涉

3. OpenLDAP服务端定制密码策略

1. 编辑slapd.conf，修改添加以下内容，从新生成数据库并加载slapd进程

   [root@mldap01 ~]# vim /etc/openldap/slapd.conf
   
   修改部分：
   modulepath /usr/lib/openldap
   modulepath /usr/lib64/openldap
   moduleload ppolicy.la
   
   添加部分：添加在最后一行
   overlay ppolicy
   ppolicy_default cn=default,ou=Pwpolicies,dc=gdy,dc=com
   ppolicy_hash_cleartext
   ppolicy_use_lockout
   
   // 解释
   overlay ppolicy  必须添加
   ppolicy_default cn=default,ou=Pwpolicies,dc=gdy,dc=com  指定默认的密码规则条目, 若是例外条目须要在用户中定义pwdPolicySubentry DN
   ppolicy_hash_cleartext   密码加密存储, 默认支持明文存储不安全
   ppolicy_use_lockout   超过最多失败次数后，锁定帐号时的提示
   
   [root@mldap01 ~]# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/
   config file testing succeeded
   [root@mldap01 ~]# chown -R ldap.ldap /etc/openldap
   [root@mldap01 ~]# /etc/init.d/slapd restart
   Stopping slapd:                                            [  OK  ]
   Starting slapd:                                            [  OK  ]

2. 查看是否加载了ppolicy.la模块

3. 查看属性是否认义

4. 定义密码策略组

   ```shell

   1. 添加ou条目
      [root@mldap01 slapd.d]# cat << EOF | ldapadd -x -D "cn=Manager,dc=gdy,dc=com" -W

      dn: ou=ppolicy,dc=gdy,dc=com
      objectClass: organizationalUnit
      ou: ppolicy
      EOF
      Enter LDAP Password:
      adding new entry "ou=ppolicy,dc=gdy,dc=com"

   2. 定义默认密码规则

   [root@mldap01 slapd.d]# cat << EOF | ldapadd -x -D "cn=Manager,dc=gdy,dc=com" -W
   dn: cn=default,ou=ppolicy,dc=gdy,dc=com
   cn: default
   objectClass: pwdPolicy
   objectClass: person
   pwdAllowUserChange: TRUE
   pwdAttribute: userPassword
   pwdExpireWarning: 259200
   pwdFailureCountInterval: 0
   pwdGraceAuthNLimit: 5
   pwdInHistory: 5
   pwdLockout: TRUE
   pwdLockoutDuration: 300 
   pwdMaxAge: 2592000
   pwdMaxFailure: 5
   pwdMinAge: 0
   pwdMinLength: 8
   pwdMustChange: TRUE
   sn: summy value
   EOF
   Enter LDAP Password: 
   adding new entry "cn=default,ou=ppolicy,dc=gdy,dc=com"
   
   // 备注
   注意此处不用添加 pwdSafeModify: TRUE, 可能会致使错误。

5. 定义用户遵照指定的密码策略

   默认状况下，全部OpenLDAP遵照默认密码策略。要实现不通用户或者不一样组具备不通的密码策略，能够根据本身的需求定制密码策略。例如, cn=security,ou=policy,dc=gdy,dc=com定义安所有门所拥有的密码策略，命令以下：

   dn: uid=wulei,dc=gdy,dc=com
   objectClass: inetOrgPerson
   uid: wulei
   cn: wu lei
   sn: lei
   loginShell: /bin/bash
   homeDirectory: /home/wulei
   homePhone: xxxxxxxxx
   employeeNumber: 123456
   mail: wulei@gdy.com
   pwdPolicySubentry: cn=security,ou=policy,dc=gdy,dc=com
   
   // 备注
   在用户添加pwdPolicySubentry: DN, 那么就能够不用遵循默认的条例, 而使用这里定义的条例

3. 客户端策划策略测试实例

1. pwdInHistory密码历史记录
   ```shell
   在客户端先使用ssh登陆一个用户user3, 而后执行passwd修改6次密码。在服务端查看以下

   [root@mldap01 ~]# ldapsearch -x -LLL uid=user3 +
   dn: uid=user3,ou=people,dc=gdy,dc=com
   structuralObjectClass: account
   entryUUID: 5c68cef0-f82d-1037-8087-6ff088bb15ae
   creatorsName: cn=Manager,dc=gdy,dc=com
   createTimestamp: 20180530081530Z
   pwdHistory: 20180530094257Z#1.3.6.1.4.1.1466.115.121.1.40#41#{crypt}\(1\)MrxsXdF
   k$gM/H7GbqYBjqz5yU4zaag/
   pwdHistory: 20180530094316Z#1.3.6.1.4.1.1466.115.121.1.40#41#{crypt}\(1\)tblcN7B
   d$WUiE.5vNb5A8sTImEBbtZ.
   pwdHistory: 20180530094347Z#1.3.6.1.4.1.1466.115.121.1.40#41#{crypt}\(1\)khuMHWG
   v$29N0SMJg6.tJSNOXXGCOV.
   pwdHistory: 20180530094418Z#1.3.6.1.4.1.1466.115.121.1.40#41#{crypt}\(1\)CTydGID
   O$akbXWqVk2xXffBz50dSIA0
   pwdHistory: 20180530094442Z#1.3.6.1.4.1.1466.115.121.1.40#41#{crypt}$1\(98Y14qO W\)helhYVnLFfSp68qEdo/j4.
   pwdChangedTime: 20180530094442Z
   entryCSN: 20180530094442.343733Z#000000#000#000000
   modifiersName: uid=user3,ou=people,dc=gdy,dc=com
   modifyTimestamp: 20180530094442Z
   entryDN: uid=user3,ou=people,dc=gdy,dc=com
   subschemaSubentry: cn=Subschema
   hasSubordinates: FALSE

   pwdHistory 最多只记录5次（已定义5次）
   ```

2. 密码复杂度
   shell 在客户端输入密码123456 [user1@test01 ~]$ passwd Changing password for user user1. Enter login(LDAP) password: New password: BAD PASSWORD: it is too simplistic/systematic

3. 密码锁定pwdLockout

   在客户端的用户user1上连续输入错误密码5次, 而后查看该用户属性。

   当超过了指定次数后，会自动在隐藏属性打上pwdAccountLockedTime标志。如上图。
   并经过pwdFailureTime属性记录错误输入时间及次数

   解决方法：
   ```shell
   [root@mldap01 slapd]# cat << EOF | ldapadd -x -D "cn=Manager,dc=gdy,dc=com" -W

   dn: uid=user1,ou=people,dc=gdy,dc=com
   changetype: modify
   delete: pwdAccountLockedTime
   EOF
   Enter LDAP Password:
   modifying entry "uid=user1,ou=people,dc=gdy,dc=com"

   删除该属性便可
   ```

4. 密码过时解决方案pwdGraceAuthNLimit等等属性

4. 定义用户第一次登陆就修改密码

```shell
1. 定义用户密码控制策略
[root@mldap01 ~]# cat << EOF | ldapadd -x -D "cn=Manager,dc=gdy,dc=com" -W 
> dn: uid=user3,ou=People,dc=gdy,dc=com
> changetype: modify
> replace: pwdReset
> pwdReset: TRUE
> EOF
Enter LDAP Password: 
modifying entry "uid=user3,ou=People,dc=gdy,dc=com"

2. 查看定义用户的策略信息, pwdReset属于隐藏属性,须要+查看
[root@mldap01 ~]# ldapsearch -x -LLL uid=user3 +
dn: uid=user3,ou=People,dc=gdy,dc=com
structuralObjectClass: account
entryUUID: 92945c00-f29d-1037-9978-7f120cbb343e
creatorsName: cn=Manager,dc=gdy,dc=com
createTimestamp: 20180523062337Z
pwdReset: TRUE
entryCSN: 20180524081057.839314Z#000000#000#000000
modifiersName: cn=Manager,dc=gdy,dc=com
modifyTimestamp: 20180524081057Z
entryDN: uid=user3,ou=People,dc=gdy,dc=com
subschemaSubentry: cn=Subschema
hasSubordinates: FALSE

主要查看pwdReset: TRUE
3. 另外一种查看用户策略信息
[root@mldap01 cn=config]# ldapwhoami -x -D uid=user3,ou=People,dc=gdy,dc=com -W -e ppolicy -v
ldap_initialize( <DEFAULT> )
Enter LDAP Password:     # 输入user3用户的密码
ldap_bind: Success (0); Password must be changed (Password expires in 0 seconds)     # 关键有这行
dn:uid=user3,ou=People,dc=gdy,dc=com
Result: Success (0)
```

5. 客户端配置

1. 修改pam_ldap.conf配置文件

   必须有以下配置
   bind_policy soft
   pam_password md5
   pam_lookup_policy yes
   pam_password clear_remove_old

2. 重启nslcd进程
   shell [root@test01 ~]# /etc/init.d/nslcd restart

3. 测试user5登陆系统
   ```shell
   [root@test01 ~]# ssh user3@127.0.0.1
   user3@127.0.0.1's password: # 输入密码
   You are required to change your LDAP password immediately.
   Creating directory '/home/user3'.
   WARNING: Your password has expired.
   You must change your password now and login again!
   Changing password for user user3.
   Enter login(LDAP) password: # 输入密码
   New password: # 输入新密码
   Retype new password: # 重复输入新密码
   LDAP password information changed for user3
   passwd: all authentication tokens updated successfully.
   Connection to 127.0.0.1 closed.

   [root@test01 ~]# ssh user3@127.0.0.1
   user3@127.0.0.1's password:
   Last login: Wed May 30 17:00:23 2018 from localhost
   ```

问题排查指南

因为在搭建时老是出现问题，致使走一步坑一步。特意总结一些排查问题的方法。

例1：openldap客户端ssh老是登陆不上，报错与密码错误相同

场景描述：在作密码策略的时候，openldap客户端老是ssh登陆不上，密码命名正确，也要从新输入，一直重试3遍后，到期失败。看服务器日志也看不出什么。

排查方法：按照一层一层排查。

• 首先1：先su - $USER，判断openldap客户端是否正常。

• 其次2：使用ldapwhoami看密码是否正常。

  ldapwhoami -x -D uid=user2,ou=People,dc=gdy,dc=com -W -e ppolicy -v -h 192.168.244.17

• 其次3：删除安全策略，测试看是否正常

• 最后4：在网上找到一篇，在pam模块中添加一条实例，重试，结果正常。

例2：新增密码策略后, 不论是修改密码, 仍是登陆后即修改密码, 都报错

场景描述: 在作登陆后即修改密码的实验的时候, 老是报错passwd: Authentication token manipulation error, 不论是第一次登陆就修改密码, 仍是正常的执行passwd修改, 都会报错如上, openldap客户端/var/log/secure也报错May 25 15:17:29 1 passwd: pam_unix(passwd:chauthtok): user "user4" does not exist in /etc/passwd

排查方法: 须要静下心一层一层排查

• 首先1: 查服务端日志, 无果, 查客户端日志, 如上。

• 其次2: 搜索引擎搜索相关报错, 搜到须要添加access, 但是我已经添加。这次方式失败, 参考连接以下:

  https://www.cnblogs.com/lemon-le/p/d668fc96897e0aed2d3f5a2fa0ce0497.html
  https://stackoverflow.com/questions/26254767/ldap-users-not-able-to-change-their-password-using-passwd-command

• 其次三: 回滚版本, 意思是将刚添加的密码策略属性, 删除, 尝试更改密码。发现更改密码成功。此时感受密码策略与access有冲突。
• 其次四: 将密码策略属性逐个添加, 边添加边更改密码, 最后发现是属性pwdSafeModify有问题。

• 最后五: 找到属性pwdSafeModify问题, 再来解决。发现当有属性pwdSafeModify FALSE时, 没法登陆后立马修改密码, 而修改执行passwd, 而当pwdSafeModify TRUE时, 修改密码报错如上。而当属性pwdSafeModify不存在时, 功能正常。

• 最后官网找了下pwdSafeModify的解释。

  该属性控制用户在密码修改操做期间是否必须发送当前密码。若是属性值为FALSE（缺省值），则用户没必要发送其当前密码。若是属性值为TRUE，那么修改密码值时用户必须发送当前密码。

  本人暂时也还没理解透